CVE-2026-28782

Nome do Software Vulnerável e Versões Afetadas Versões do Craft anteriores a 5.9.0-beta.1 Versões do Craft anteriores a 4.17.0-beta.1

Descrição O Craft é um sistema de gerenciamento de conteúdo (CMS). Existe uma falha na qual a ação "Duplicar" de entrada não verifica corretamente as permissões do usuário para elementos-alvo específicos. Mesmo com permissão limitada de "Visualizar Entradas", um usuário pode contornar restrições da interface do usuário ao enviar uma solicitação direta. Isso permite a duplicação de entradas de outros usuários ao especificar seus IDs de Entrada. Como os IDs de Entrada são incrementais, um invasor pode, potencialmente, realizar um ataque de força bruta nesses IDs para duplicar e acessar conteúdo restrito. A vulnerabilidade pode ser explorada por meio de uma solicitação direta ao endpoint da API "/index.php?p=admin%2Factions%2Felement-indexes%2Fperform-action", utilizando o parâmetro elementIds. A solicitação requer um token CSRF válido e um cookie.

Recomendações As versões do Craft anteriores a 5.9.0-beta.1 devem ser atualizadas para a versão 5.9.0-beta.1 ou posterior. As versões do Craft anteriores a 4.17.0-beta.1 devem ser atualizadas para a versão 4.17.0-beta.1 ou posterior.